Sicherheit und Daten
Ihre BYOK-Schlüssel und der Webhook-Secret sind geschützt
Alle drei Client-Secrets — neural.apiKey (LLM-Provider-Schlüssel), ocr.providerKey (OCR-Provider-Schlüssel) und webhookSecret (HMAC-Signatur-Secret) — werden nur als Eingabe entgegengenommen und niemals in einer Antwort zurückgegeben, niemals geloggt und tauchen niemals in Fehlermeldungen auf. Im Backend wird jeder mit AES-256-GCM unter einem Masterschlüssel (KEK) mit job-spezifischer AAD-Bindung verschlüsselt; die Datenbank speichert nur den Chiffretext, die Nonce und die KEK-Version; jeder wird genau einmal entschlüsselt, direkt vor der Verwendung, und zusammen mit dem Job gelöscht (~7 Tage). neural in der Antwort enthält kein apiKey; das Job-Objekt der Antwort hat überhaupt kein ocr-Feld — der OCR-Schlüssel ist konstruktionsbedingt von den Antworten ausgeschlossen.
Daten bei der Übertragung
TLS bei der Übertragung; API-Zugriff nur per Schlüssel.
Speicherung
Dateien, Zwischendaten und Verarbeitungsergebnisse werden für begrenzte Zeit aufbewahrt und automatisch gelöscht (Standard-Aufbewahrung: 7 Tage).